Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie Servicerollen ein für AWS Clean Rooms
Themen
Erstellen Sie einen Administratorbenutzer
Zur Verwendung AWS Clean Rooms müssen Sie einen Administratorbenutzer für sich selbst erstellen und den Administratorbenutzer zu einer Administratorgruppe hinzufügen.
Wählen Sie zum Erstellen eines Administratorbenutzers eine der folgenden Optionen aus.
Wählen Sie eine Möglichkeit zur Verwaltung Ihres Administrators aus. | Bis | Von | Sie können auch |
---|---|---|---|
Im IAM Identity Center (Empfohlen) |
Verwendung von kurzfristigen Anmeldeinformationen für den Zugriff auf AWS. Dies steht im Einklang mit den bewährten Methoden für die Sicherheit. Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch. |
Beachtung der Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. | Konfigurieren Sie den programmatischen Zugriff, indem Sie AWS CLI die Konfiguration für die Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch vornehmen. |
In IAM (Nicht empfohlen) |
Verwendung von langfristigen Anmeldeinformationen für den Zugriff auf AWS. | Beachtung der Anweisungen unter Erstellen Ihres ersten IAM-Administratorbenutzers und Ihrer ersten Benutzergruppe im IAM-Benutzerhandbuch. | Programmgesteuerten Zugriff unter Verwendung der Informationen unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im IAM-Benutzerhandbuch konfigurieren. |
Erstellen Sie eine IAM-Rolle für ein Kollaborationsmitglied
Ein Mitglied ist ein AWS Kunde, der an einer Kollaboration teilnimmt.
Um eine IAM-Rolle für ein Kollaborationsmitglied zu erstellen
-
Folgen Sie dem Verfahren Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.
-
Wählen Sie für den Schritt Richtlinie erstellen im Richtlinien-Editor die Registerkarte JSON aus und fügen Sie dann je nach den Fähigkeiten, die dem Kollaborationsmitglied gewährt wurden, Richtlinien hinzu.
AWS Clean Rooms bietet die folgenden verwalteten Richtlinien auf der Grundlage gängiger Anwendungsfälle:
Wenn Sie … Dann benutze... Sehen Sie sich die Ressourcen und Metadaten an AWS verwaltete Richtlinie: AWSCleanRoomsReadOnlyAccess Abfrage AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess Ergebnisse abfragen und empfangen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess Ressourcen für die Zusammenarbeit verwalten, aber keine Abfragen durchführen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccessNoQuerying Informationen zu den verschiedenen verwalteten Richtlinien, die von angeboten werden AWS Clean Rooms, finden Sie unter AWS verwaltete Richtlinien für AWS Clean Rooms
Erstellen Sie eine Servicerolle zum Lesen von Daten
AWS Clean Rooms verwendet eine Servicerolle, um die Daten zu lesen.
Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:
Wenn... | Dann |
---|---|
Sie verfügen über die erforderlichen IAM-Berechtigungen, um eine Servicerolle zu erstellen | Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen. |
Sie haben keine or Sie möchten die IAM-Rollen manuell erstellen |
Führen Sie eine der folgenden Aktionen aus:
|
Um eine Servicerolle zum Lesen von Daten zu erstellen
Anmerkung
Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen zum Erstellen einer Servicerolle mithilfe der AWS Clean Rooms Konsole verfügen.
-
Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.
-
Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).
Anmerkung
Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet werden kann, können Sie die Vertrauensrichtlinie weiter einschränken. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).
Anmerkung
Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Wenn Sie beispielsweise einen benutzerdefinierten KMS-Schlüssel für Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie möglicherweise mit zusätzlichen AWS KMS Berechtigungen ändern.
Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:
aws-region
:accountId
:database
/database
", "arn:aws:glue:aws-region
:accountId
:table
/table
", "arn:aws:glue:aws-region
:accountId
:catalog
" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket
/prefix
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } } ] } -
Ersetzen Sie jeden
Platzhalter
durch Ihre eigenen Informationen. -
Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.
Erstellen Sie eine Servicerolle, um Ergebnisse zu erhalten
Anmerkung
Wenn Sie das Mitglied sind, das nur Ergebnisse erhalten kann (in der Konsole ist Ihre Mitgliederfähigkeit nur Ergebnisse erhalten aktiviert), gehen Sie wie folgt vor.
Wenn Sie ein Mitglied sind, das Ergebnisse sowohl abfragen als auch empfangen kann (in der Konsole ist Ihre Fähigkeit als Mitglied sowohl Ergebnisse abfragen als auch Ergebnisse erhalten), können Sie dieses Verfahren überspringen.
AWS Clean Rooms Verwendet für Kollaborationsmitglieder, die nur Ergebnisse erhalten können, eine Servicerolle, um Ergebnisse der abgefragten Daten in der Kollaboration in den angegebenen Amazon S3 S3-Bucket zu schreiben.
Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:
Wenn... | Dann |
---|---|
Sie verfügen über die erforderlichen IAM-Berechtigungen, um eine Servicerolle zu erstellen | Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen. |
Sie haben keine or Sie möchten die IAM-Rollen manuell erstellen |
Führen Sie eine der folgenden Aktionen aus:
|
Um eine Servicerolle zu erstellen, um Ergebnisse zu erhalten
Anmerkung
Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.
-
Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.
-
Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:
region
:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
" ] } } } ] } -
Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).
Anmerkung
Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern.
Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket_name
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } } ] } -
Ersetzen Sie jeden
Platzhalter
durch Ihre eigenen Informationen:-
Region
— Der Name der AWS-Region. z. B.us-east-1
. -
a1B2C3D4-5678-90AB-CDEF-exampleAAAAA
— Die Mitglieds-ID des Mitglieds, das Abfragen durchführen kann. Die Mitglieds-ID finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt. -
arn:aws:cleanrooms:us-east- 1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-exampleAAAAA —
Der einzige Mitgliedschafts-ARN des Mitglieds, das Abfragen durchführen kann. Den Mitglieds-ARN finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt. -
bucket_name
— Der Amazon-Ressourcenname (ARN) des S3-Buckets. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3. -
accountId
— Die AWS-Konto ID, in der sich der S3-Bucket befindet.bucket_name/optional_key_prefix
— Der Amazon-Ressourcenname (ARN) des Ergebnisziels in S3. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.
-
-
Folgen Sie weiterhin dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.